偽装メールアドレスを見抜く! アメリカンエキスプレスに成りすましたフィッシング詐欺メールも最近多く届くのですが
内容が同じものばかり。
今までは、HTMLを使った青基調のメールだったのですが、今朝届いていたメールはテキスト
ばかりの味気の無い質素なメール。
今回はそんなメールをご紹介してみようと思います。 そのメールがこちら。 
件名は
「[spam] 【American Express】次回口座振替のお知らせ」
”[spam]”は、いつも紹介しているように、サーバーからのスパムスタンプと呼ばれる
注意喚起です。
これが付いているものは全て迷惑メールの類。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
この件名には「次回口座振替のお知らせ」とありますから次回の引き落とし金額の確認
メールを模したものだと想像できます。 差出人は
「”American Express” <bqxnky@giqggohc.net>」
あらら、アメリカンエキスプレスを名乗っておきながら同社のドメインとは全く異なる
”giqggohc.net”なんてドメインを使ったメールアドレスで送られてきていますね。
今の時代、ある程度の規模であればどの企業だって自社ドメイン持ってます。
それに自社ドメインのメールを使わないんてあり得ませんよね?
ここを見ただけでもこのメール不信感を覚えます。
さて、このドメイン”giqggohc.net”は、実際に差出人のものなのでしょうか、それとも
偽装されていて本当は別のアドレスから送られてきたものなのでしょうか? 
確認してみたらどうやらこのドメインはどのIPアドレスにも割り当てられていないようです。
と、言うことは、このメールアドレスは偽装であると断定できます。
存在しないドメインからのメール?! では、このメールをもう少し深掘りしヘッダーソースから詳しく調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<bqxnky@giqggohc.net>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<68D25CCF8018E486C4EC401886866CCD@giqggohc.net>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from giqggohc.net (unknown [163.43.194.86])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | どのフィールドもことごとく”giqggohc.net”で塗り固められていますね。(笑)
では、”Received”に記載されていたこのIPアドレス”163.43.194.86”を使いそのサーバーの
情報を拾ってみましょう! 
な~んだ、またコイツか!
差出人は、国内大手のレンタルサーバー会社「さくらインターネット」のユーザーで
うちのサイトではご常連さん。
懲りずに相変わらずうだつの上がらないメール作ってるんだね。(笑) では、このIPアドレスの割り当て地と危険度を調べてみます。 
割り当て地は、当然のことながらさくらインターネットの本社のある大阪市北区。
そして脅威レベルは「高」で、脅威の詳細は「メールによるサイバーアタックの攻撃元」
と出ていますのでかなり危険なメールであることが想像できます。
残念ですがこのカード持ってません しかし、コイツからだと分かると一気にやる気が失せるわ…
だってどうせ詐欺サイトは隣国の首都でしょ?
先が見えてきちゃうからつまらないもん…(-_-;) ま、そう言っててもいけないので本文も確認してみます。 | 平素は、アメリカン・エキスプレスのカードをご利用いただきありがとうございます。 以下の通り、次回の口座振替情報をお知らせいたします。
カード番号: xxxx-xxxxxx-1003
口座振替金額: 491,517円
口座振替日: 2021年11月13日 本サービスについての詳細確認および登録の解除・設定の変更は以下URLにて承っております。 | やはり内容は、次回の引き落とし金額のお知らせですね。
もちろん全部適当に書かれた架空の引き落とし金額です。
カード番号は、信ぴょう性を持たせるために書いたものだと思いますが、逆に嘘だと
バレてしまうのであえて書かない方が良かったのではないかと思ったりもします。
まぁもっとも私、アメリカンエキスプレスカード持ってませんけどね。(笑) 「詳細確認および登録の解除・設定の変更」のために指定のURLに接続しろと書かれていますて
そのすぐ下にURLが直書きされています。
そのURLがこちらです。 
使われているドメインは”americaneixprizss.com”
アメリカンエキスプレス社の正規ドメインは”americanexpress.com”です。
文字数が多いので惑わされてしまいますが、似てそうで似てないドメイン。 これがこのドメインの情報。 
見慣れた情報ですが持ち主は「中国・広西チワン族自治区」にお住いのご常連さん。
そして割り当て地は、隣国で見飽きた地図。 
例によって脅威レベルは「高」で、脅威の詳細は「Webによるサイバーアタックの攻撃元」 サイトに行ってみようとしたら既にセキュリティー企業では周知されているようで
ウイルスバスターにブロックされました。 
危険を承知で構わず先に進むと、ご多分に漏れずアメリカンエキスプレスユーザーサイトの
ログイン画面が表示されました。 
もちろん偽の完コピサイトです。
まとめ ほんと世の中には暇な人が居るものですね。
こんなのを日夜シコシコ作っているんでしょうね…ご苦労なことです(笑)
お使いのメールサーバーにを見るだけでおおよそ察しが付くメールが多いので
まずそこに着目してください。
そしてPCの場合は、Windows標準のセキュリティーに頼らず必ず大手企業のしっかりした
アプリの導入をお勧めします。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 